JP7026028B2 - Methods and systems for detecting attacks on cyber-physical systems using redundant devices and smart contracts - Google Patents

Methods and systems for detecting attacks on cyber-physical systems using redundant devices and smart contracts Download PDF

Info

Publication number
JP7026028B2
JP7026028B2 JP2018160933A JP2018160933A JP7026028B2 JP 7026028 B2 JP7026028 B2 JP 7026028B2 JP 2018160933 A JP2018160933 A JP 2018160933A JP 2018160933 A JP2018160933 A JP 2018160933A JP 7026028 B2 JP7026028 B2 JP 7026028B2
Authority
JP
Japan
Prior art keywords
sensors
network
indicated value
physical
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018160933A
Other languages
Japanese (ja)
Other versions
JP2019057276A5 (en
JP2019057276A (en
Inventor
シャンタヌ・レーン
Original Assignee
パロ アルト リサーチ センター インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by パロ アルト リサーチ センター インコーポレイテッド filed Critical パロ アルト リサーチ センター インコーポレイテッド
Publication of JP2019057276A publication Critical patent/JP2019057276A/en
Publication of JP2019057276A5 publication Critical patent/JP2019057276A5/ja
Application granted granted Critical
Publication of JP7026028B2 publication Critical patent/JP7026028B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Description

背景
本開示は、概して、サイバーフィジカルシステムへの攻撃の検出に関する。より具体的には、本開示は、冗長デバイス及びスマートコントラクトを使用して、サイバーフィジカルシステムへの攻撃を検出するための方法及びシステムに関する。 Background This disclosure generally relates to the detection of attacks on cyber-physical systems. More specifically, the present disclosure relates to methods and systems for detecting attacks on cyber-physical systems using redundant devices and smart contracts.

サイバーフィジカルシステムは、物理的及びソフトウェア/コンピュータ構成要素を、スタンドアロンのデバイスではなく、物理的入力及び出力との相互作用要素のネットワークに含む。サイバーフィジカルシステムとしては、例えば電力グリッド、水力発電所、建築環境管理システム、ロボット工学システム、及び航空機システムのための、制御システム及びインフラストラクチャを挙げることができる。サイバーフィジカルシステムへの攻撃は、物理的プロセスに関与するセンサ、アクチュエータ、及び制御モジュールの機能を修正することによって、物理的プロセスを標的にする場合がある。例えば、攻撃者は、特定のシリンダーにポンプ圧送されるガスの量を物理的に増加させることによって、発電所内のガス圧力ゲージをハッキングし、同時に、実際のゲージ指示値をごまかして、正常なレベルであると読み取らせる(「偽装する」)場合がある。この偽装アタッチは、プラントオペレータまたは監視システムが、実際の増加したガスの量を検出することを妨げ、これは、安全上の問題をもたらす場合がある。 Cyber-physical systems include physical and software / computer components in a network of physical input and output interaction elements rather than stand-alone devices. Cyber-physical systems include, for example, control systems and infrastructure for power grids, hydropower plants, building environment management systems, robotics systems, and aircraft systems. Attacks on cyber-physical systems may target physical processes by modifying the functionality of sensors, actuators, and control modules involved in the physical process. For example, an attacker could hack a gas pressure gauge in a power plant by physically increasing the amount of gas pumped into a particular cylinder, while at the same time cheating on the actual gauge readings to a normal level. It may be read as ("disguised"). This camouflage attachment prevents the plant operator or monitoring system from detecting the actual increased amount of gas, which can pose a safety issue.

そのような攻撃を検出するための現在の手法は、例えばセンサから生じるテレメトリを調査し、制御ステーションに送信することに依存している。起こり得る攻撃の存在を示し得る、所定の許容範囲を外れたセンサ指示値が検出されたときには、制御ステーションのプラントオペレータに警報を出すことができる。しかしながら、上で説明したように、巧妙な攻撃者は、センサから現れるテレメトリが通常の挙動を模倣するように、センサの挙動を修正することができ、これは、プラントオペレータが、潜在的な安全上の問題を検出することを妨げることができる。 Current methods for detecting such attacks rely on, for example, investigating telemetry originating from sensors and transmitting it to control stations. An alarm can be issued to the plant operator of the control station when a sensor reading that is out of a predetermined tolerance is detected, which may indicate the presence of a possible attack. However, as explained above, a clever attacker can modify the behavior of the sensor so that the telemetry emerging from the sensor mimics normal behavior, which allows the plant operator to potentially secure it. It can prevent you from detecting the above problem.

そのような攻撃の検出問題に対処するための1つの手法は、冗長センサを使用することである。しかしながら、これらの冗長センサの多くは、依然として、同じネットワークを通じてプラントオペレータと通信しているので、ネットワークにハッキングする攻撃者は、依然として、冗長センサを偽装することができる。冗長ネットワークを使用する場合であっても、概して、プラントオペレータとの通信を伴う。したがって、このシステムは、依然として、プラントオペレータに対してハッキングされる場合がある。これは、サイバーフィジカルシステム及び制御環境全体に対して深刻な結果を招き得る。 One approach to addressing the problem of detecting such attacks is to use redundant sensors. However, many of these redundant sensors still communicate with the plant operator over the same network, so an attacker hacking into the network can still disguise the redundant sensor. Even when using a redundant network, it generally involves communication with the plant operator. Therefore, this system can still be hacked against plant operators. This can have serious consequences for the entire cyber-physical system and control environment.

1つの実施形態は、物理的入力及び出力との相互作用要素のサイバーフィジカルシステムにおける攻撃の検出を容易にする。動作中に、システムは、複数のエンティティのうちの第1のエンティティによって、第1のネットワークを介して、サイバーフィジカルシステムの第1の一組のセンサから第1の指示値を受信する。システムは、第1のエンティティによって、第2のネットワークを介して、サイバーフィジカルシステムの第2の一組のセンサから第2の指示値を受信し、第2のネットワークは、任意の外部エンティティ、または複数のエンティティのうちのいずれかによるアクセスを阻止するセキュリティ対策を含む。システムは、第1の指示値及び第2の指示値に基づいて一組の命令を実行する。システムは、実行された命令の結果が、予期される状態に一致しないと判定する。システムは、結果に基づいて是正措置を行う。 One embodiment facilitates the detection of attacks in cyber-physical systems of interacting elements with physical inputs and outputs. During operation, the system receives the first reading from the first set of sensors in the cyber-physical system via the first network by the first entity of the plurality of entities. The system receives the second indicated value from the second set of sensors of the cyber-physical system via the second network by the first entity, and the second network is any external entity, or Includes security measures that block access by any of multiple entities. The system executes a set of instructions based on the first instruction value and the second instruction value. The system determines that the result of the executed instruction does not match the expected state. The system takes corrective action based on the results.

いくつかの実施形態において、第1の一組のセンサは、第1のネットワーク上で動作しており、第2の一組のセンサは、第1の一組のセンサのための一組の冗長センサであり、第2の一組のセンサは、第1のネットワークのための冗長ネットワークである第2のネットワーク上で動作している。第1の指示値及び第2の指示値は、一組の命令を実行する際に第1のエンティティによる入力として使用される物理的測定値を示し、実行された命令の結果は、ブロックチェーンを修正するために使用される出力である。 In some embodiments, the first set of sensors is operating on the first network and the second set of sensors is a set of redundancy for the first set of sensors. A sensor, a second set of sensors, is operating on a second network, which is a redundant network for the first network. The first and second instructions represent the physical measurements used as inputs by the first entity when executing a set of instructions, and the result of the executed instructions is the blockchain. The output used to modify.

いくつかの実施形態において、第1の指示値及び第2の指示値は、他のエンティティによって受信される。一組の命令は、スマートコントラクトであり、スマートコントラクトは、他のエンティティによって実行される。複数のエンティティのうちの各エンティティは、ブロックチェーン上で動作を行う。複数のエンティティのうちの多数決によって、実行されたスマートコントラクトの結果のコンセンサスを判定することに応答して、システムは、結果をブロックチェーンに書き込む。 In some embodiments, the first and second instructors are received by other entities. A set of instructions is a smart contract, which is executed by another entity. Each entity of a plurality of entities operates on the blockchain. In response to determining the consensus of the results of the executed smart contract by a majority vote of multiple entities, the system writes the results to the blockchain.

いくつかの実施形態において、システムは、実行されたスマートコントラクトの結果が、予期される状態に一致しないと判定する第1のエンティティまたは別のエンティティによって、予期しない状態の通知を生成する。是正措置は、第1のエンティティまたは他のエンティティによって行われる。 In some embodiments, the system generates an unexpected state notification by a first entity or another entity that determines that the result of the executed smart contract does not match the expected state. Corrective action is taken by the first entity or another entity.

いくつかの実施形態において、エンティティは、互いに通信する分散エンティティである。 In some embodiments, the entities are distributed entities that communicate with each other.

いくつかの実施形態において、一組の命令を実行することは、第1の指示値及び第2の指示値に基づいて、関数を計算することをさらに伴う。 In some embodiments, executing a set of instructions further involves computing a function based on the first and second instructions.

いくつかの実施形態において、複数のエンティティのうちの各エンティティは、エントリを有するデータ構造を維持し、該エントリは、それぞれのエンティティのための識別子、それぞれのエンティティによって実行された一組の命令の結果、命令を実行するそれぞれのエンティティと関連付けられたタイムスタンプ、及びそれぞれのエンティティによって実行された命令の結果が、予期される状態に一致するかどうかの指標、のうちの1つ以上を含む。 In some embodiments, each entity of the plurality of entities maintains a data structure having an entry, which entry is an identifier for each entity, a set of instructions executed by each entity. It contains one or more of a result, a time stamp associated with each entity executing the instruction, and an indicator of whether the result of the instruction executed by each entity matches the expected state.

いくつかの実施形態において、予期される状態は、所定の時間間隔の範囲内で第1の指示値及び第2の指示値を受信すること、第1の指示値及び第2の指示値が等しいかどうか、第1の指示値及び第2の指示値が所定の範囲内にあるかどうか、第1の指示値及び第2の指示値に基づいて行われた関数が所定の範囲内の結果を生じるかどうか、第1の指示値及び第2の指示値が同じ物理量を示すかどうか、第1の指示値及び第2の指示値が異なる物理量を示すかどうか、ならびに第1の一組のセンサ及び第2の一組のセンサと関連付けられたデバイス設定、ファームウェア、またはソフトウェアの変更、のうちの1つ以上に基づく。 In some embodiments, the expected state is to receive the first and second indications within a predetermined time interval, the first and second indications are equal. Whether or not the first and second indicated values are within a predetermined range, and whether the function performed based on the first and second indicated values is within the predetermined range. Whether it occurs, whether the first and second indications show the same physical quantity, whether the first and second readings show different physical quantities, and the first set of sensors. And based on one or more of device settings, firmware, or software changes associated with a second set of sensors.

本発明の一実施形態に従う、サイバーフィジカルシステムにおける攻撃の検出を容易にするための例示的な環境を例示する図である。It is a figure illustrating an exemplary environment for facilitating the detection of an attack in a cyber-physical system according to one embodiment of the present invention. 先行技術における例示的な環境を例示する図である。It is a figure which illustrates the exemplary environment in the prior art. 本発明の一実施形態に従う、例示的な分散エンティティ及び例示的なデータ構造を提示する図である。It is a figure which presents an exemplary distributed entity and an exemplary data structure according to an embodiment of the invention. 本発明の一実施形態に従う、サイバーフィジカルシステムにおける攻撃の検出を容易にするための、分散エンティティによる方法を例示するフローチャートである。It is a flowchart which illustrates the method by the distributed entity for facilitating the detection of the attack in the cyber-physical system according to one Embodiment of this invention. 本発明の一実施形態に従う、サイバーフィジカルシステムにおける攻撃の検出を容易にするための、分散エンティティによる方法を例示するフローチャートである。It is a flowchart which illustrates the method by the distributed entity for facilitating the detection of the attack in the cyber-physical system according to one Embodiment of this invention. 本発明の一実施形態に従う、サイバーフィジカルシステムにおける攻撃の検出を容易にする例示的な分散コンピュータ及び通信システムを例示する図である。It is a figure illustrating an exemplary distributed computer and communication system that facilitates the detection of attacks in a cyber-physical system according to an embodiment of the present invention.

図面中、同じ参照番号は、同じ図面要素を指す。 In drawings, the same reference numbers refer to the same drawing elements.

以下の説明は、任意の当業者が本実施形態を作製し、使用することを可能にするように提示され、また、特定の用途及び要件の文脈において提供される。開示された実施形態に対する種々の変更は、当業者には容易に明らかになるであろうし、また本明細書で定義された一般的な原理は、本開示の趣旨及び範囲から逸脱することなく、他の実施形態及び用途に適用され得る。したがって、本発明は、示される実施形態に限定されるのではなく、本明細書で開示される原理及び特徴と一致する最も広い範囲を与えられるべきである。 The following description is presented to allow any person skilled in the art to create and use the present embodiment and is also provided in the context of a particular application and requirement. Various changes to the disclosed embodiments will be readily apparent to those of skill in the art, and the general principles defined herein do not deviate from the spirit and scope of the present disclosure. It may be applicable to other embodiments and applications. Accordingly, the invention is not limited to the embodiments shown, but should be given the broadest scope consistent with the principles and features disclosed herein.

概要
本発明の実施形態は、冗長ネットワーク上で動作する冗長センサを使用することによって、及びブロックチェーン技術に基づいて分散エンティティの間でスマートコントラクトを実行することによって、サイバーフィジカルシステムへの攻撃の検出に関与する課題に対処する。サイバーフィジカルシステムへの攻撃は、サイバーフィジカルシステムの相互作用要素の物理的プロセスを標的にする場合がある。この攻撃は、物理的プロセスに関与するセンサ、アクチュエータ、及び制御モジュールの機能を修正する場合がある。そのような攻撃を検出するための現在の手法は、センサから生じるテレメトリを調査し、制御ステーションに送信することに依存している。起こり得る攻撃の存在を示し得る、所定の許容範囲を外れたセンサ指示値が検出されたときには、制御ステーションのプラントオペレータに警報を出すことができる。しかしながら、巧みな攻撃者は、センサから現れるテレメトリが通常の挙動を模倣する(例えば、偽装する)ように、センサの挙動を修正する(例えば、ハッキングする)ことができ、これは、プラントオペレータが、潜在的な安全上の問題を検出することを妨げる。 Overview The embodiments of the present invention detect attacks on cyber-physical systems by using redundant sensors operating on redundant networks and by executing smart contracts between distributed entities based on blockchain technology. Address issues related to. Attacks on cyber-physical systems may target the physical processes of the interacting elements of the cyber-physical system. This attack may modify the functionality of sensors, actuators, and control modules involved in physical processes. Current methods for detecting such attacks rely on investigating the telemetry arising from the sensor and sending it to the control station. An alarm can be issued to the plant operator of the control station when a sensor reading that is out of a predetermined tolerance is detected, which may indicate the presence of a possible attack. However, a clever attacker can modify (eg, hack) the behavior of the sensor so that the telemetry emerging from the sensor mimics (eg, disguises) normal behavior, which the plant operator can do. , Prevents detection of potential safety issues.

そのような攻撃の検出問題に対する1つの手法は、冗長センサを使用することである。しかしながら、これらの冗長センサの多くは、依然として、同じネットワークを通じてプラントオペレータと通信しているので、ネットワークにハッキングする攻撃者は、依然として、冗長センサを偽装することができる。冗長ネットワークを使用する場合であっても、概して、プラントオペレータとの通信を伴う。したがって、このシステムは、依然として、プラントオペレータに対してハッキングされる場合がある。これは、サイバーフィジカルシステム及び制御環境全体に関して深刻な結果を招き得る。 One approach to the problem of detecting such attacks is to use redundant sensors. However, many of these redundant sensors still communicate with the plant operator over the same network, so an attacker hacking into the network can still disguise the redundant sensor. Even when using a redundant network, it generally involves communication with the plant operator. Therefore, this system can still be hacked against plant operators. This can have serious consequences for the entire cyber-physical system and control environment.

本発明の実施形態は、第1のネットワーク上で動作する一組の一次センサ及び第2のネットワークで動作する一組の冗長センサを有するシステムを提供することによってこの問題に対処し、第2のネットワークは、外部のエンティティによるアクセスを阻止するセキュリティ対策を含む。一次及び冗長センサは、物理的プロセスの特定のパラメータを読み出し、測定し、そして、制御ステーションだけでなく、複数の利害関係者にもこれらの指示値を送信する。これらの利害関係者は、分散処理システムのエンティティであってもよく、エンティティは、他のエンティティと通信するためのいくつかの方法を有する。例えば、原子力発電所の事例において、利害関係者としては、プラントオペレータ、現地の当局者、連邦組織、及び政府または民間監視組織を挙げることができる。 Embodiments of the present invention address this issue by providing a system with a set of primary sensors operating on a first network and a set of redundant sensors operating on a second network, The network contains security measures that block access by external entities. Primary and redundant sensors read and measure specific parameters of the physical process and send these readings to multiple stakeholders as well as the control station. These stakeholders may be an entity of a distributed processing system, which has several ways to communicate with other entities. For example, in the case of a nuclear power plant, stakeholders may include plant operators, local officials, federal organizations, and government or private oversight organizations.

各利害関係者(または関連付けられたデバイス)は、許可型ブロックチェーン設定で動作するプロセッサを含むことができる。ブロックチェーンは、互いに信頼できないパーティの間で分散コンセンサスを達成するための技術的な手段であり得る。ブロックチェーンは、各利害関係者が、制御システム内のデバイス(例えば、発電所内のセンサ)から受信したデータを書き込むことを可能にする。ブロックチェーンはまた、利害関係者が、ブロックに署名し、データを書き込むことも可能にし、さらに、データを暗号化することができる。利害関係者によってブロックチェーンに書き込むことができるデータの例としては、一定の時間間隔での一次センサの指示値及びアクチュエータのアクション、一定の時間間隔での冗長センサの指示値、センサ、アクチュエータ、及びコントローラモジュールのファームウェアのアップグレード、ならびに観察されたシステムの挙動が、予期される挙動から逸脱するインスタンス、及び逸脱が生じる持続時間、を挙げることができる。 Each stakeholder (or associated device) can include a processor operating in an authorized blockchain configuration. Blockchain can be a technical means of achieving a distributed consensus among parties that cannot trust each other. The blockchain allows each stakeholder to write data received from a device in the control system (eg, a sensor in a power plant). Blockchain also allows stakeholders to sign blocks, write data, and even encrypt data. Examples of data that can be written to the blockchain by interested parties are primary sensor readings and actuator actions at regular time intervals, redundant sensor readings at fixed time intervals, sensors, actuators, and Examples include controller module firmware upgrades, as well as instances where observed system behavior deviates from expected behavior, and how long the deviation occurs.

さらに、各利害関係者は、同じスマートコントラクトのコピーを実行することができ、該コピーは、ブロックチェーン上で動作するプログラムまたは一組の命令である。高いレベルでは、各利害関係者は、2つの別々のネットワークを介して、一次センサからの第1の指示値を受信し、冗長センサから第2の指示値を受信することができる。各利害関係者は、第1の指示値及び第2の指示値を入力として使用することによって、スマートコントラクトを実行することができる。例えば、利害関係者は、第1の指示値及び第2の指示値の数学関数を評価することができる。各利害関係者は、次いで、実行されたスマートコントラクトの結果を、予期される状態と比較することができる。結果が、予期される状態に一致しない場合、利害関係者は、是正措置を行うことができる。この是正措置は、利害関係者の種類、時間間隔、所定の許容範囲、以前の類似する結果の履歴、その他を含む、多数の変数によって異なり得る。 In addition, each stakeholder may execute a copy of the same smart contract, which copy is a program or set of instructions running on the blockchain. At a higher level, each stakeholder may receive a first reading from the primary sensor and a second reading from the redundant sensor via two separate networks. Each stakeholder can execute a smart contract by using the first instruction value and the second instruction value as inputs. For example, stakeholders can evaluate the mathematical functions of the first and second indicated values. Each stakeholder can then compare the results of the executed smart contract with the expected state. If the results do not match the expected conditions, stakeholders may take corrective action. This corrective action can vary by a number of variables, including stakeholder types, time intervals, given tolerances, history of previous similar results, and more.

各利害関係者は、同じ方法で(すなわち、同じ入力に対して同じ一組の命令を実行することによって)同じスマートコントラクトを実行するので、任意の単一の利害関係者は、不一致を判定し、直ちに是正措置を行うことができる。加えて、利害関係者の多数決が、結果に関するコンセンサスに到達すると、エンティティのうちのいずれかによって、結果をブロックチェーンに書き込むことができる。 Each stakeholder executes the same smart contract in the same way (ie, by executing the same set of instructions for the same input), so any single stakeholder determines a discrepancy. , Immediate corrective action can be taken. In addition, once a stakeholder majority vote reaches a consensus on the outcome, one of the entities can write the outcome to the blockchain.

したがって、本発明の実施形態は、サイバーフィジカルシステムへの攻撃の検出に関与する課題に対処するシステムを提供し、改善点は、根本的に技術的なものである。本システムは、サイバーフィジカルシステムへの攻撃を効率的に検出するといった技術的問題に対する技術的解決策(例えば、冗長ネットワーク上で動作する冗長センサを使用すること、及びブロックチェーンに基づいて分散エンティティの間でスマートコントラクトを使用すること)を提供する。 Therefore, embodiments of the present invention provide a system that addresses issues involved in detecting attacks on cyber-physical systems, and the improvements are fundamentally technical. The system provides technical solutions to technical problems such as efficient detection of attacks on cyber-physical systems (eg, using redundant sensors operating on redundant networks, and blockchain-based distributed entities. (Using smart contracts between).

より具体的には、ブロックチェーンに基づくコンセンサスは、任意の単一利害関係者が、攻撃を検出することを可能にする。例えば、プラントオペレータが適切な時間内に攻撃に気付くことができなかった場合には、またはプラントオペレータが攻撃によってある意味において危殆化される場合には、任意の他の利害関係者が、同じ入力を使用して同じスマートコントラクトを実行することによって、攻撃を検出することができる。さらに、冗長センサは、制御ステーションと通信していない冗長ネットワーク上で動作している。これは、産業用制御システム(例えば、SCADAシステム)の脆弱性に対する大部分の攻撃からシステムを保護することができる。最後に、冗長センサは、攻撃表面の直交ビューを提供し、よって、攻撃者が一次センサからのテレメトリを偽装し、制御ステーションを欺いて、システムが正常に機能していると信じさせてしまった場合であっても、攻撃を検出することができる。 More specifically, blockchain-based consensus allows any single stakeholder to detect an attack. For example, if the plant operator fails to notice the attack in a reasonable amount of time, or if the plant operator is compromised in a way by the attack, any other stakeholder will enter the same input. Attacks can be detected by executing the same smart contract using. In addition, the redundant sensor operates on a redundant network that is not communicating with the control station. It can protect the system from most attacks against vulnerabilities in industrial control systems (eg SCADA systems). Finally, the redundant sensor provided an orthogonal view of the attack surface, thus causing the attacker to disguise the telemetry from the primary sensor and trick the control station into believing that the system was functioning properly. Attacks can be detected even in some cases.

例示的なネットワーク及び通信
図1は、本発明の一実施形態に従う、サイバーフィジカルシステムにおける攻撃の検出を容易にするための例示的な環境100を例示する。環境100は、冷却塔122と、煙道ガススタック124と、原子炉格納建造物126と、を含む、発電所120等の工業プラントを含むことができる。建造物126は、第1のネットワーク102上で動作する一次センサ130.1~130.5によって、及び第2のネットワーク104上で動作する冗長センサ140.1~140.5によって測定される物理的装置を含むことができる。ネットワーク102は、例えばプラントオペレータによってアクセスすることができ、一方で、ネットワーク104は、任意の外部エンティティ、または分散エンティティ(プラントオペレータを含む)のうちのいずれかによるアクセスを阻止するセキュリティ対策を含むことができる。 Exemplary Networks and Communications Figure 1 illustrates an exemplary environment 100 for facilitating the detection of attacks in a cyber-physical system according to an embodiment of the invention. The environment 100 can include an industrial plant such as a power plant 120, including a cooling tower 122, a flue gas stack 124, and a reactor containment structure 126. The building 126 is physically measured by primary sensors 130.1 to 130.5 operating on the first network 102 and by redundant sensors 140.1 to 140.5 operating on the second network 104. The device can be included. The network 102 can be accessed, for example, by a plant operator, while the network 104 includes security measures that block access by either any external entity or any distributed entity (including the plant operator). Can be done.

環境100はまた、複数の分散エンティティ、すなわち、ユーザ152と関連付けられたデバイス154、ユーザ162と関連付けられたデバイス164、ユーザ172と関連付けられたデバイス174、及びユーザ182と関連付けられたデバイス184も含むことができる。これらのエンティティは、発電所120の動作に関心がある複数の利害関係者を含むことができる。例えば、ユーザ152は、プラントオペレータを表すことができ、ユーザ162は、現地の機関を表すことができ、ユーザ172は、連邦組織を表すことができ、ユーザ182は、民間監視機関を表すことができる。各エンティティは、一組の命令、例えばスマートコントラクトを実行する、プロセッサを有することができる。すなわち、デバイス154は、スマートコントラクト156を実行することができ、デバイス164は、スマートコントラクト166を実行することができ、デバイス174は、スマートコントラクト176を実行することができ、デバイス184は、スマートコントラクト186を実行することができる。複数の分散エンティティは、直接的に、または別の分散エンティティを介して、互いに通信することができる。 Environment 100 also includes a plurality of distributed entities, namely device 154 associated with user 152, device 164 associated with user 162, device 174 associated with user 172, and device 184 associated with user 182. be able to. These entities can include multiple stakeholders who are interested in the operation of power plant 120. For example, user 152 can represent a plant operator, user 162 can represent a local agency, user 172 can represent a federal organization, and user 182 can represent a private monitoring agency. can. Each entity can have a processor that executes a set of instructions, eg smart contracts. That is, the device 154 can execute the smart contract 156, the device 164 can execute the smart contract 166, the device 174 can execute the smart contract 176, and the device 184 can execute the smart contract. 186 can be executed. Multiple distributed entities can communicate with each other either directly or through another distributed entity.

環境100はまた、物理的入力及び出力との相互作用要素のサイバーフィジカルシステムも例示する。例えば、原子炉格納建造物126内の装置は、一次及び冗長センサを介して、分散エンティティ(例えば、複数の利害関係者)と相互作用する。サイバーフィジカルシステムは、センサによって測定される指示値の物理的入力を使用し、分散エンティティによって実行されるスマートコントラクトの出力を生じる。 Environment 100 also exemplifies a cyber-physical system of physical inputs and interacting elements with outputs. For example, the equipment in the reactor containment building 126 interacts with distributed entities (eg, multiple stakeholders) via primary and redundant sensors. Cyber-physical systems use physical inputs of readings measured by sensors to produce the output of smart contracts executed by distributed entities.

動作中に、一次センサ130.1~130.5は、指示値を取得し、ネットワーク102を介して、指示値132を第1の入力134としてデバイス154等の分散エンティティに送信することができる。同時またはほぼ同時に、冗長センサ140.1~140.5は、冗長指示値(下でさらに詳細に論じられる)を取得し、ネットワーク104を介して、指示値142を第2の入力144としてデバイス154に送信することができる。第1及び第2の入力は、エンティティの各々に、またはエンティティの1つ以上に直接送信することができることに留意されたい。例えば、破線によって示されるように、第1の入力(「F/I」)135、136、及び137はまた、それぞれ、ネットワーク102を介して、デバイス164、174、及び184に送信することもでき、第2の入力(「S/I」)145、146、及び147はまた、それぞれ、ネットワーク104を介して、デバイス164、174、及び184に送信することもできる。したがって、第1及び第2の入力は、それぞれ、ネットワーク102及び104を介して、各エンティティに、またはエンティティの1つ以上に直接送信することができる。さらに、第1及び第2の入力は、第1の受信側エンティティまたは任意の他の分散エンティティを介して、エンティティに送信することができる。 During operation, the primary sensors 130.1 to 130.5 can acquire the indicated value and transmit the indicated value 132 as the first input 134 to a distributed entity such as the device 154 via the network 102. Simultaneously or nearly simultaneously, the redundancy sensors 140.1 to 140.5 acquire the redundancy indication (discussed in more detail below) and the indicator 154 via the network 104 with the indication 142 as the second input 144. Can be sent to. Note that the first and second inputs can be sent directly to each of the entities or to one or more of the entities. For example, as indicated by the dashed line, the first inputs (“F / I”) 135, 136, and 137 can also be transmitted via network 102 to devices 164, 174, and 184, respectively. , Second inputs (“S / I”) 145, 146, and 147 can also be transmitted to devices 164, 174, and 184, respectively, via network 104. Thus, the first and second inputs can be sent directly to each entity or to one or more of the entities via networks 102 and 104, respectively. In addition, the first and second inputs can be sent to the entity via the first receiving entity or any other distributed entity.

各エンティティは、次いで、第1及び第2の入力を使用して、そのスマートコントラクトのコピーを実行することができる。実行されたスマートコントラクトの結果が、予期される状態に一致しないと判定する任意のエンティティは、是正措置を行うことができる。例えば、デバイス154は、第1の入力134及び第2の入力144に基づいてそのスマートコントラクト156を実行し、実行されたスマートコントラクト156の結果が、予期される状態に一致しないと判定することができる。デバイス154(またはユーザ152)は、その後に、是正措置を行うことができる。これらの動作は、図4及び5に関して下で説明される。 Each entity can then use the first and second inputs to perform a copy of its smart contract. Any entity that determines that the result of the executed smart contract does not match the expected state can take corrective action. For example, the device 154 may execute its smart contract 156 based on the first input 134 and the second input 144 and determine that the result of the executed smart contract 156 does not match the expected state. can. Device 154 (or user 152) can then take corrective action. These operations are described below with respect to FIGS. 4 and 5.

さらに、任意のエンティティは、他のエンティティの多数決によって、実行されたスマートコントラクトの結果のコンセンサスを判定し、結果をブロックチェーンに書き込むことができる。データ構造を維持してコンセンサスを判定することは、図3に関して下で説明され、結果をブロックチェーンに書き込むことは、図5に関して下で説明される。 In addition, any entity can determine the consensus of the results of the executed smart contract and write the results to the blockchain by a majority vote of the other entity. Maintaining the data structure to determine consensus is described below with respect to FIG. 3, and writing the results to the blockchain is described below with respect to FIG.

要約すると、環境100は、冗長ネットワーク上で動作する冗長センサを含み、プラントオペレータは、冗長ネットワークと通信していない。さらに、環境100は、分散エンティティ(すなわち、複数の利害関係者)を含み、それぞれが、(別々のネットワーク上で動作している一次センサ及び冗長センサから)同じ入力を受信し、それぞれが、同じ受信した入力に対して同じスマートコントラクトを実行する。分散エンティティは、ブロックチェーン技術を使用して、コンセンサスに到達し、合意した結果をブロックチェーンに書き込むので、任意の単一エンティティは、予期しない状態を判定し、直ちに是正措置をとることができる。 In summary, the environment 100 includes a redundant sensor operating on a redundant network, and the plant operator is not communicating with the redundant network. Further, the environment 100 includes distributed entities (ie, multiple stakeholders), each receiving the same input (from primary and redundant sensors operating on different networks), each receiving the same. Execute the same smart contract for the received input. The distributed entity uses blockchain technology to reach consensus and write the agreed result to the blockchain so that any single entity can determine an unexpected situation and take immediate corrective action.

対照的に、図2は、先行技術における例示的な環境200を例示する。環境100に類似して、環境200は、一次センサ230.1~230.5と、冗長センサ240.1~240.5と、を有する、原子炉格納建造物126を含む。しかしながら、環境100とは対照的に、これらのセンサは、同じネットワーク202上で動作しており、また、ネットワーク202を介して、プラントオペレータ242及び関連付けられたデバイス244と通信している。悪意のあるユーザ252は、デバイス254を介して、地点260においてデータを偽装することによる攻撃272、または地点262においてデータを偽装することによる攻撃270を開始することができ、地点260及び262は全て、プラントオペレータ242と通信している同じネットワークに属する。したがって、図2の先行技術の環境200において、原子炉格納建造物126を含むサイバーフィジカルシステムは、図1の環境100に関して上で説明した実施形態と異なり、攻撃に対して脆弱である。 In contrast, FIG. 2 illustrates an exemplary environment 200 in the prior art. Similar to Environment 100, Environment 200 includes a reactor containment structure 126 having primary sensors 230.1 to 230.5 and redundant sensors 240.1 to 240.5. However, in contrast to Environment 100, these sensors are operating on the same network 202 and are communicating with the plant operator 242 and associated device 244 via the network 202. The malicious user 252 can initiate an attack 272 by spoofing data at point 260 or an attack 270 by spoofing data at point 262 via device 254, all at points 260 and 262. , Belonging to the same network communicating with the plant operator 242. Therefore, in the prior art environment 200 of FIG. 2, the cyber-physical system including the reactor containment building 126 is vulnerable to attack, unlike the embodiment described above with respect to the environment 100 of FIG.

例示的な分散エンティティ及びデータ構造
図3は、本発明の一実施形態に従う、例示的な分散エンティティ300、ならびに例示的なデータ構造320及び340を提示する。例示的な分散エンティティ300は、デバイス184と、関連するユーザ182と、を含むことができる。デバイス184は、スマートコントラクト186と、スマートコントラクトの状態及び実行されたスマートコントラクトの結果に対するコンセンサスの状態を保持するデータ構造と、を含むことができる。例えば、例示的なデータ構造320は、エントリ321、322、323、及び324を含むことができ、各エントリは、それぞれのエンティティを識別するエンティティ識別子(「Entity_ID」)302、同じ入力(例えば、f(input1,input2)=「<result_expected>」または「<result_unexpected>」、ここで、「input1」は、一次センサからの指示値に対応し、「input2」は、冗長センサからの指示値に対応する)に対して同じスマートコントラクトを実行するそれぞれのエンティティの結果である、スマートコントラクトの結果304、それぞれのエンティティによって結果が得られた、または送信された時間を示すタイムスタンプ306、及びそれぞれのエンティティによって実行されるスマートコントラクトの結果が、予期される状態に一致するかどうかの状態指標308(例えば、状態が「予期される」ものであったか、「予期されない」ものであったかを示すフラグ)、を含む。いくつかの実施形態において、タイムスタンプ306は、有限の、または繰り返し持続時間、例えば09:06:00~09:08:59の3分間の時間ウインドウとすることができる。 Exemplary Distributed Entities and Data Structures FIG. 3 presents an exemplary distributed entities 300, as well as exemplary data structures 320 and 340, according to an embodiment of the invention. An exemplary distributed entity 300 can include a device 184 and an associated user 182. The device 184 can include a smart contract 186 and a data structure that holds the state of the smart contract and the state of consensus with respect to the result of the executed smart contract. For example, the exemplary data structure 320 can include entries 321, 322, 323, and 324, where each entry has an entity identifier (“Entity_ID”) 302 that identifies each entity, the same input (eg, f). (Input1, output2) = "<result_extracted>" or "<result_unexpected>", where "input1" corresponds to the indicated value from the primary sensor and "input2" corresponds to the indicated value from the redundant sensor. ), The result of the smart contract 304, which is the result of each entity executing the same smart contract, the time stamp 306 indicating the time the result was obtained or transmitted by each entity, and by each entity. Includes a state indicator 308 (eg, a flag indicating whether the state was "expected" or "unexpected"), whether the result of the executed smart contract matches the expected state. .. In some embodiments, the time stamp 306 can be a finite or repetitive duration, eg, a time window of 3 minutes from 09:06: 00 to 09:08:59.

エントリ321、322、及び324は、それぞれのエンティティについて、対応するタイムスタンプと共に、スマートコントラクトを実行することによって、予期される結果が得られたことを示すことができる。エントリ323は、データを保留していること、すなわち、デバイス174がまだスマートコントラクトを実行していないことを示すように、ブランクとすることができる。データ構造320のエントリ321、322、及び324のデータに基づいて、関連するエンティティのいずれかが、エンティティの多数決(この事例では、4つのうちの3つ)によって結果のコンセンサスを判定し、結果をブロックチェーンに書き込むことができる。「多数決」は、加重多数決、エンティティの数の1/2を超える数、またはコンセンサスを判定するために使用することができる任意の方法として定義することができる。 Entries 321, 322, and 324 can indicate that the expected results were obtained by executing the smart contract for each entity, along with the corresponding timestamp. Entry 323 can be blank to indicate that it is holding data, i.e., device 174 has not yet executed a smart contract. Based on the data of entries 321, 322, and 324 of data structure 320, one of the related entities determines the consensus of the result by a majority vote of the entity (three of four in this case) and determines the result. Can be written to the blockchain. "Majority vote" can be defined as a weighted majority vote, more than half the number of entities, or any method that can be used to determine consensus.

例示的なデータ構造340は、エントリ341、342、343、及び344を含むことができ、該エントリは、それぞれのエンティティについて、対応するタイムスタンプと共に、スマートコントラクトを実行することによって、予期されない結果が得られたことを示すことができる。エントリ342は、データを保留していること、すなわち、デバイス164がまだスマートコントラクトを実行していないことを示すように、ブランクとすることができる。データ構造320に関して上で説明したように、関連のあるエンティティのいずれかが、エンティティの多数決によって結果のコンセンサスを判定し、結果をブロックチェーンに書き込むことができる。さらに、任意のエンティティは、予期しない結果を得ると、他のエンティティのいずれかに対する通知を生成することを含む、是正措置を行うことができる。 An exemplary data structure 340 can include entries 341, 342, 343, and 344, which can produce unexpected results by running a smart contract with the corresponding timestamp for each entity. It can be shown that it was obtained. Entry 342 can be blank to indicate that it is holding data, i.e., device 164 has not yet executed a smart contract. As described above for the data structure 320, any of the related entities can determine the consensus of the results by a majority vote of the entities and write the results to the blockchain. In addition, any entity can take corrective action, including generating a notification to any of the other entities if it gets an unexpected result.

「是正措置」としては、センサ、センサと関連付けられた物理的オブジェクト、またはセンサに影響を及ぼし得る任意の物理的オブジェクトもしくは条件の修復、置換、または修正が挙げられる。是正措置としてはまた、サイバーフィジカルシステムへの将来の攻撃を阻止することができるアクション、または予期される条件を満たさない、実行されたスマートコントラクトの結果を調査することと関連付けられたアクションも含むことができる。各エンティティは、異なるパラメータに依存することができる固有の是正措置を行うことができる。 "Correctable action" includes repairing, replacing, or modifying a sensor, a physical object associated with the sensor, or any physical object or condition that may affect the sensor. Corrective actions also include actions that can thwart future attacks on cyber-physical systems, or actions associated with investigating the results of executed smart contracts that do not meet the expected conditions. Can be done. Each entity can take unique corrective actions that can depend on different parameters.

例えば、環境監視者は、特定のガスゲージに関する一次センサと冗長センサとの間の不一致が、特定の期間内で特定の回数を超えて(例えば、12時間の期間に10回を超えて)所定の範囲から外れた場合にプラントに通知する(例えば、警告メッセージ、または、報告を送信する)、といった是正措置を行うことができる。対照的に、プラントオペレータは、環境監視者に関するパラメータと異なる、またはそれよりもより短い間隔で(例えば、2時間の期間に3回を超えて)類似する不一致を検出した場合に、同じ一次及び冗長センサ(ならびに対応する物理的及びネットワーク要素)を調査するといった是正措置を行うことができる。 For example, an environmental observer may have determined that the mismatch between the primary sensor and the redundant sensor for a particular gas gauge exceeds a certain number of times within a particular time period (eg, more than 10 times over a 12 hour period). Corrective actions can be taken, such as notifying the plant (eg, sending a warning message or report) when it is out of range. In contrast, the plant operator finds similar discrepancies that differ from or shorter than the parameters for the environmental observer (eg, more than three times in a two hour period), the same primary and. Corrective actions can be taken, such as investigating redundant sensors (as well as corresponding physical and network elements).

サイバーフィジカルシステムにおける攻撃の検出を容易にするための方法
図4は、本発明の一実施形態に従う、サイバーフィジカルシステムにおける攻撃の検出を容易にするための、分散エンティティによる方法を例示するフローチャート400である。動作中に、システムは、複数のエンティティのうちの第1のエンティティによって、第1のネットワークを介して、サイバーフィジカルシステムの第1の一組のセンサから第1の指示値を受信し、第1のセンサは、第1のネットワーク上で動作している(動作402)。システムは、第1のエンティティによって、第2のネットワークを介して、サイバーフィジカルシステムの第2の一組のセンサから第2の指示値を受信し、第2の一組は、第1のセンサのための一組の冗長センサであり、第2の一組のセンサは、第2のネットワーク上で動作しており、第2のネットワークは、任意の外部エンティティ、または複数のエンティティのうちのいずれかによってアクセスを阻止するセキュリティ対策を含む(動作404)。第2のネットワークは、第1のネットワークのための冗長ネットワークである。 Method for facilitating the detection of attacks in a cyber-physical system FIG. 4 is a flowchart 400 illustrating a method by distributed entities for facilitating the detection of attacks in a cyber-physical system according to an embodiment of the present invention. be. During operation, the system receives the first reading from the first set of sensors in the cyber-physical system via the first network by the first entity of the plurality of entities, the first. Sensor is operating on the first network (operation 402). The system receives the second indicated value from the second set of sensors of the cyber-physical system via the second network by the first entity, and the second set of the first sensor. A set of redundant sensors for, a second set of sensors operating on a second network, where the second network is either any external entity or any of a plurality of entities. Includes security measures to block access by (operation 404). The second network is a redundant network for the first network.

システムは、第1のエンティティによって、第1の指示値及び第2の指示値に基づいて一組の命令(例えば、スマートコントラクト)を実行する(動作406)。システムは、他のエンティティによって、第1の指示値及び第2の指示値を受信する(動作408)。システムは、他のエンティティによって、第1の指示値及び第2の指示値に基づいてスマートコントラクトを実行し(動作410)、動作は、図5のラベルAにおいて説明されるように続く。 The system executes a set of instructions (eg, smart contract) based on the first instruction value and the second instruction value by the first entity (operation 406). The system receives the first instruction value and the second instruction value by another entity (operation 408). The system executes a smart contract by another entity based on the first and second instructions (operation 410), and the operation continues as described in label A of FIG.

図5は、本発明の一実施形態に従う、サイバーフィジカルシステムにおける攻撃の検出を容易にするための、分散エンティティによる方法を例示するフローチャート500である。動作中に、システムは、エンティティの多数決によって、実行されたスマートコントラクトの結果のコンセンサスを判定する(判定502)。システムがコンセンサスを判定していない場合、動作は、図4の動作408で説明されるように続く。システムがコンセンサスを判定している場合、システムは、結果をブロックチェーンに書き込む(動作504)。結果は、図3の例示的なデータ構造320及び340において(例えば、スマートコントラクト結果フィールド304において)、上で説明したように示すことができる。分散エンティティのうちのいずれかが、コンセンサスを判定し、結果をブロックチェーンに書き込むことができることに留意されたい。 FIG. 5 is a flowchart 500 illustrating a distributed entity method for facilitating the detection of attacks in a cyber-physical system according to an embodiment of the invention. During operation, the system determines the consensus of the results of the executed smart contract by a majority vote of the entities (determination 502). If the system has not determined consensus, the operation continues as described in operation 408 of FIG. If the system determines consensus, the system writes the result to the blockchain (operation 504). Results can be shown in the exemplary data structures 320 and 340 of FIG. 3 (eg, in the smart contract result field 304), as described above. Note that any of the distributed entities can determine consensus and write the results to the blockchain.

システムはまた、実行されたスマートコントラクトの結果が、予期される状態に一致するかどうかを判定することもできる(判定512)。予期される状態は、例えば、所定の間隔の範囲内で第1の指示値及び第2の指示値を受信すること、第1の指示値及び第2の指示値が等しいかどうか、第1の指示値及び第2の指示値が所定の範囲内にあるかどうか、第1の指示値及び第2の指示値に基づいて行われる関数が所定の範囲内の結果を生じるかどうか、第1の指示値及び第2の指示値が同じ物理量を示すかどうか、第1の指示値及び第2の指示値が異なる物理量を示すかどうか、ならびに第1のセンサ及び第2のセンサと関連付けられたデバイス設定、ファームウェア、またはソフトウェアの変更、に基づくことができる。図3に関して上で説明したように、予期される条件が満たされるかどうかの指標は、状態指標フィールド308に含めることができる。 The system can also determine if the result of the executed smart contract matches the expected state (determination 512). The expected state is, for example, receiving the first and second readings within a predetermined interval, whether the first and second readings are equal, the first. Whether the indicated value and the second indicated value are within a predetermined range, whether the function performed based on the first indicated value and the second indicated value produces a result within the predetermined range, the first. Whether the indicated value and the second indicated value indicate the same physical quantity, whether the first indicated value and the second indicated value indicate different physical quantities, and whether the first sensor and the device associated with the second sensor are used. It can be based on settings, firmware, or software changes. As described above with respect to FIG. 3, an indicator of whether the expected conditions are met can be included in the state indicator field 308.

結果が、予期される状態に一致する場合(判定512)、動作は、元に戻る。結果が、予期される状態に一致しない場合(判定512)、システムは、予期しない状態を判定する第1のエンティティまたは任意のエンティティによって、予期しない状態の通知を随意に生成することができる(動作514)。予期しない状態であると判定することは、実行されたスマートコントラクトの結果が、予期される状態に一致しないと判定することである。システムは、その後に、任意のエンティティによって、予期しない状態に基づいて是正措置を行うことができる(動作516)。 If the result matches the expected state (determination 512), the operation is undone. If the result does not match the expected state (determination 512), the system can optionally generate an unexpected state notification by a first entity or any entity that determines the unexpected state (behavior). 514). Determining an unexpected state means determining that the result of the executed smart contract does not match the expected state. The system can then take corrective action by any entity based on the unexpected condition (operation 516).

例示的なコンピュータ及び通信システム
図6は、本発明の一実施形態に従う、サイバーフィジカルシステムにおける攻撃の検出を容易にする例示的な分散コンピュータ及び通信システム602を例示する。コンピュータシステム602は、プロセッサ604と、メモリ606と、記憶デバイス608と、を含む。メモリ606は、管理されたメモリとしての役割を果たす揮発性メモリ(例えば、RAM)を含むことができ、また、1つ以上のメモリプールを記憶するために使用することができる。さらに、コンピュータシステム602は、ディスプレイデバイス610、キーボード612、及びポインティングデバイス614に連結することができる。記憶デバイス608は、オペレーティングシステム616、コンテンツ処理システム618、及びデータ632を記憶することができる。 Exemplary Computers and Communication Systems FIG. 6 illustrates an exemplary distributed computer and communication system 602 that facilitates detection of attacks in a cyber-physical system according to an embodiment of the invention. The computer system 602 includes a processor 604, a memory 606, and a storage device 608. Memory 606 can include volatile memory (eg, RAM) that serves as managed memory and can also be used to store one or more memory pools. Further, the computer system 602 can be connected to the display device 610, the keyboard 612, and the pointing device 614. The storage device 608 can store the operating system 616, the content processing system 618, and the data 632.

コンテンツ処理システム618は、コンピュータシステム602によって実行されたときに、コンピュータシステム602に、本開示において説明される方法及び/またはプロセスを行わせることができる命令を含むことができる。具体的には、コンテンツ処理システム618は、コンピュータネットワークを通じて他のネットワークノードに対してデータパケットを送信及び/または受信するための命令を含むことができる(通信モジュール620)。データパケットは、サイバーフィジカルシステムのセンサ、アクチュエータ、またはコントローラモジュールからのデータ、暗号化されたデータ、及び指示値を示すメッセージを含むことができる。 The content processing system 618 can include instructions that, when executed by the computer system 602, can cause the computer system 602 to perform the methods and / or processes described in the present disclosure. Specifically, the content processing system 618 can include instructions for transmitting and / or receiving data packets to other network nodes through the computer network (communication module 620). The data packet can include data from a sensor, actuator, or controller module of the cyber-physical system, encrypted data, and a message indicating the indicated value.

コンテンツ処理システム618は、複数のエンティティのうちの第1のエンティティによって、第1のネットワークを介して、サイバーフィジカルシステムの第1の一組のセンサから第1の指示値を受信するための命令を含むことができる(通信モジュール620)。コンテンツ処理システム618は、第1のエンティティによって、第2のネットワークを介して、サイバーフィジカルシステムの第2の一組のセンサから第2の指示値を受信するための命令を含むことができる(通信モジュール620)。コンテンツ処理システム618は、第1の指示値及び第2の指示値に基づいて一組の命令を実行するための命令を含むことができる(スマートコントラクト実行モジュール622)。コンテンツ処理システム618は、実行された命令の結果が、予期される状態に一致しないと判定するための命令を含むことができる(状態判定モジュール624)。コンテンツ処理システム618は、結果に基づいて是正措置を行うための命令を含むことができる(アクション実行モジュール630)。 The content processing system 618 is instructed by the first entity among the plurality of entities to receive the first instruction value from the first set of sensors of the cyber physical system via the first network. Can include (communication module 620). The content processing system 618 may include instructions for receiving a second instruction from a second set of sensors in the cyber-physical system via the second network by the first entity (communication). Module 620). The content processing system 618 can include instructions for executing a set of instructions based on the first instruction value and the second instruction value (smart contract execution module 622). The content processing system 618 can include an instruction for determining that the result of the executed instruction does not match the expected state (state determination module 624). The content processing system 618 can include an instruction to take corrective action based on the result (action execution module 630).

コンテンツ処理
システム618は、複数のエンティティの多数決によって、実行されたスマートコントラクトの結果のコンセンサスを判定することに応答して(コンセンサス判定モジュール626)、結果をブロックチェーンに書き込むための命令を含むことができる(ブロックチェーン管理モジュール628)。コンテンツ処理システム618は、第1の指示値及び第2の指示値に基づいて関数を計算するための命令を含むことができる(スマートコントラクト実行モジュール622)。 The content processing system 618 may include an instruction to write the result to the blockchain in response to determining the consensus of the result of the executed smart contract by a majority vote of multiple entities (consensus determination module 626). Yes (blockchain management module 628). The content processing system 618 can include an instruction for calculating a function based on a first instruction value and a second instruction value (smart contract execution module 622).

データ632は、入力として必要とされる、または本開示において説明される方法及び/またはプロセスによって出力として生成される任意のデータを含むことができる。具体的には、データ632は、少なくとも、入力、指示値、フィジカル測定値またはフィジカル入力を示す指示値、出力、スマートコントラクト、一組の命令、実行されたスマートコントラクトの結果、一組の命令を実行した結果、ネットワークの指標、センサのための識別子または指標、ブロックチェーン、コンセンサスの指標、通知、予期される状態、是正措置の指標、関数、データ構造、データ構造におけるエントリ、それぞれのエンティティの識別子、それぞれのエンティティによって実行された一組の命令またはスマートコントラクトの結果、一組の命令またはスマートコントラクトを実行するそれぞれのエンティティと関連付けられたタイムスタンプ、実行された命令またはスマートコントラクトの結果が予期される状態に一致するかどうかの指標、所定の時間間隔、ネットワークのセキュリティ関連のパラメータ、所定の範囲、物理量、及び一組のセンサと関連付けられたデバイス設定、ファームウェア、またはソフトウェアの変更、を記憶することができる。 Data 632 can include any data required as input or produced as output by the methods and / or processes described in the present disclosure. Specifically, the data 632 contains at least an input, an instruction value, a physical measurement value or an instruction value indicating a physical input, an output, a smart contract, a set of instructions, a result of the executed smart contract, and a set of instructions. Execution results, network indicators, identifiers or indicators for sensors, blockchain, consensus indicators, notifications, expected states, corrective action indicators, functions, data structures, entries in data structures, identifiers for each entity. , The result of a set of instructions or smart contracts executed by each entity, the time stamp associated with each entity executing a set of instructions or smart contracts, the result of the executed instructions or smart contracts is expected Remembers indicators of whether a state matches, a given time interval, network security-related parameters, a given range, physical quantities, and device settings, firmware, or software changes associated with a set of sensors. be able to.

この「発明を実施するための形態」において説明されるデータ構造及びコードは、典型的に、コンピュータ可読記憶媒体に記憶され、該コンピュータ可読記憶媒体は、コンピュータシステムによって使用するためのコード及び/またはデータを記憶することができる、任意のデバイスまたは媒体とすることができる。コンピュータ可読記憶媒体としては、揮発性メモリ、不揮発性メモリ、ディスクドライブ、磁気テープ、CD(コンパクトディスク)、DVD(デジタル多用途ディスクまたはデジタルビデオディスク)等の磁気及び光記憶デバイス、または現在知られている、または今後開発されるコンピュータ可読媒体を記憶することが可能な他の媒体が挙げられるが、これらに限定されない。 The data structures and codes described in this "mode for carrying out the invention" are typically stored in a computer-readable storage medium, which is the code and / or code for use by a computer system. It can be any device or medium that can store data. Computer-readable storage media include volatile and non-volatile memories, disk drives, magnetic tapes, CDs (compact discs), DVDs (digital versatile discs or digital video discs) and other magnetic and optical storage devices, or are currently known. Other, but not limited to, other media capable of storing computer-readable media that are or will be developed in the future.

「発明を実施するための形態」の節において説明される方法及びプロセスは、上で説明したようなコンピュータ可読記憶媒体に記憶することができるコード及び/またはデータとして具現化することができる。コンピュータシステムが、コンピュータ可読記憶媒体に記憶されたコード及び/またはデータを読み取り、実行したときに、コンピュータシステムは、データ構造及びコードとして具体化され、かつコンピュータ可読記憶媒体内に記憶された方法及びプロセスを実行する。 The methods and processes described in the section "Modes for Carrying Out the Invention" can be embodied as codes and / or data that can be stored in a computer-readable storage medium as described above. When the computer system reads and executes the code and / or data stored in the computer readable storage medium, the computer system embodies the data structure and code and the method and stored in the computer readable storage medium. Run the process.

さらに、上で説明した方法及びプロセスは、ハードウェアモジュールまたは装置に含めることができる。ハードウェアモジュールまたは装置としては、特定用途向け集積回路(ASIC)チップ、フィールドプログラマブルゲートアレイ(FPGA)、特定の時間に特定のソフトウェアモジュールまたはコードの一部を実行する専用または共有プロセッサ、及び現在知られている、または今後開発される他のプログラマブル論理デバイスを挙げることができるが、これらに限定されない。ハードウェアモジュールまたは装置を起動させると、それらの中に含まれる方法及びプロセスを実行する。 In addition, the methods and processes described above can be included in hardware modules or devices. Hardware modules or devices include application-specific integrated circuit (ASIC) chips, field programmable gate arrays (FPGAs), dedicated or shared processors that run parts of a particular software module or code at a particular time, and are currently known. Other programmable logic devices that have been or will be developed in the future, but are not limited to these. When you start a hardware module or device, it executes the methods and processes contained within them.

本発明の実施形態の上述の説明は、例示及び説明のみを目的として提示されている。本記述は、網羅的であること、または本発明を開示された形態に限定することを意図したものではない。したがって、多くの修正及び変形が、当業者に明白になるであろう。加えて、上述の開示は、本発明を限定することを意図したものではない。本発明の範囲は、添付の特許請求の範囲によって定義される。 The above description of embodiments of the present invention are presented for purposes of illustration and illustration only. This description is not intended to be exhaustive or to limit the invention to the disclosed form. Therefore, many modifications and variations will be apparent to those skilled in the art. In addition, the above disclosure is not intended to limit the invention. The scope of the invention is defined by the appended claims.

Claims (10)

物理的入力及び出力との相互作用要素のサイバーフィジカルシステムにおける攻撃の検出を容易にするためのコンピュータによって実行される方法であって、前記方法が、
複数のデバイスの第1のデバイスによって、第1のネットワークを介して、前記サイバーフィジカルシステムの第1の一組のセンサから第1の指示値を受信することと、
前記第1のデバイスによって、第2のネットワークを介して、前記サイバーフィジカルシステムの第2の一組のセンサから第2の指示値を受信することであって、
前記第1の指示値及び前記第2の指示値は、同じ物理的プロセスのパラメータを測定するものであり、
前記第2の一組のセンサは前記第1の一組のセンサと異なり、
前記第2のネットワークが、任意の外部デバイス、または前記複数のデバイスのうちのいずれかによるアクセスを阻止するセキュリティ対策を含み、
前記第1の指示値及び前記第2の指示値は、前記複数のデバイスのうちの他のデバイスによって受信される、第2の指示値を受信することと、
前記第1の指示値及び前記第2の指示値に基づいてスマートコントラクトである一組の命令を前記第1のデバイス及び前記他のデバイスによって実行することと、
第1の一組のセンサ及び第2の一組のセンサと関連付けられたデバイス設定、ファームウェア、またはソフトウェアの変更に基づいて、前記実行されたスマートコントラクトの結果が、予期される状態に一致するかどうかを前記第1のデバイス及び前記他のデバイスによって判定することと、
前記複数のデバイスの多数決によって、前記実行されたスマートコントラクトの前記結果のコンセンサスを判定することに応答して、前記結果をブロックチェーンに書き込むことと、
少なくとも1つのデバイスによって、前記実行されたスマートコントラクトの前記結果が前記予期される状態に一致しないと判定することに応答して、前記結果に基づいて是正措置を行うことと、を含む、方法。 A method performed by a computer to facilitate the detection of attacks in cyber-physical systems of physical input and output interaction elements, said method.
Receiving a first indicated value from a first set of sensors in the cyber-physical system via a first network by a first device of a plurality of devices .
The first device receives a second indicated value from a second set of sensors in the cyber-physical system via the second network.
The first indicated value and the second indicated value measure the parameters of the same physical process.
The second set of sensors is different from the first set of sensors.
The second network includes security measures that block access by any external device , or any of the plurality of devices .
The first instruction value and the second instruction value receive a second instruction value received by another device among the plurality of devices .
To execute a set of instructions which is a smart contract based on the first instruction value and the second instruction value by the first device and the other device .
Does the result of the executed smart contract match the expected state based on the device settings, firmware, or software changes associated with the first set of sensors and the second set of sensors? Determining whether or not by the first device and the other device ,
Writing the results to the blockchain in response to determining the consensus of the results of the executed smart contract by a majority vote of the plurality of devices .
A method comprising, by at least one device , taking corrective action based on the result in response to determining that the result of the executed smart contract does not match the expected condition. 前記第1の一組のセンサが、前記第1のネットワーク上で動作しており、前記第2の一組のセンサが、前記第1の一組のセンサのための一組の冗長センサであり、前記第2の一組のセンサが、前記第1のネットワークのための冗長ネットワークである前記第2のネットワーク上で動作しており、
前記第1の指示値及び前記第2の指示値が、前記一組の命令を実行する際に前記第1のデバイスによる入力として使用される物理的測定値を示し、
前記実行された命令の前記結果が、前記ブロックチェーンを修正するために使用される出力である、請求項1に記載の方法。 The first set of sensors is operating on the first network, and the second set of sensors is a set of redundant sensors for the first set of sensors. , The second set of sensors is operating on the second network, which is a redundant network for the first network.
The first indicated value and the second indicated value indicate a physical measurement value used as an input by the first device when executing the set of instructions.
The method of claim 1, wherein the result of the executed instruction is an output used to modify the blockchain. 前記複数のデバイスのうちの各デバイスが、前記ブロックチェーン上で動作を行う、請求項1に記載の方法。 The method according to claim 1, wherein each of the plurality of devices operates on the blockchain . 物理的入力及び出力との相互作用要素のサイバーフィジカルシステムにおける攻撃の検出を容易にするためのコンピュータシステムであって、前記コンピュータシステムが、
プロセッサと、
前記プロセッサによって実行されたときに、前記プロセッサに方法を行わせる命令を記憶する記憶デバイスと、を備え、前記方法が、
複数のデバイスの第1のデバイスによって、第1のネットワークを介して、前記サイバーフィジカルシステムの第1の一組のセンサから第1の指示値を受信することと、
前記第1のデバイスによって、第2のネットワークを介して、前記サイバーフィジカルシステムの第2の一組のセンサから第2の指示値を受信することであって、
前記第1の指示値及び前記第2の指示値は、同じ物理的プロセスのパラメータを測定するものであり、
前記第2の一組のセンサは前記第1の一組のセンサと異なり、
前記第2のネットワークが、任意の外部デバイス、または前記複数のデバイスのうちのいずれかによるアクセスを阻止するセキュリティ対策を含み、
前記第1の指示値及び前記第2の指示値は、前記複数のデバイスのうちの他のデバイスによって受信される、第2の指示値を受信することと、
前記第1の指示値及び前記第2の指示値に基づいてスマートコントラクトである一組の命令を前記第1のデバイス及び前記他のデバイスによって実行することと、
第1の一組のセンサ及び第2の一組のセンサと関連付けられたデバイス設定、ファームウェア、またはソフトウェアの変更に基づいて、前記実行されたスマートコントラクトの結果が、予期される状態に一致するかどうかを前記第1のデバイス及び前記他のデバイスによって判定することと、
前記複数のデバイスの多数決によって、前記実行されたスマートコントラクトの前記結果のコンセンサスを判定することに応答して、前記結果をブロックチェーンに書き込むことと、
少なくとも1つのデバイスによって、前記実行されたスマートコントラクトの前記結果が前記予期される状態に一致しないと判定することに応答して、前記結果に基づいて是正措置を行うことと、を含む、コンピュータシステム。 A computer system for facilitating the detection of attacks in a cyber-physical system that interacts with physical inputs and outputs.
With the processor
The method comprises a storage device that stores instructions that cause the processor to perform a method when executed by the processor.
Receiving a first indicated value from a first set of sensors in the cyber-physical system via a first network by a first device of a plurality of devices .
The first device receives a second indicated value from a second set of sensors in the cyber-physical system via the second network.
The first indicated value and the second indicated value measure the parameters of the same physical process.
The second set of sensors is different from the first set of sensors.
The second network includes security measures that block access by any external device , or any of the plurality of devices .
The first instruction value and the second instruction value receive a second instruction value received by another device among the plurality of devices .
To execute a set of instructions which is a smart contract based on the first instruction value and the second instruction value by the first device and the other device .
Does the result of the executed smart contract match the expected state based on the device settings, firmware, or software changes associated with the first set of sensors and the second set of sensors? Determining whether or not by the first device and the other device ,
Writing the results to the blockchain in response to determining the consensus of the results of the executed smart contract by a majority vote of the plurality of devices .
A computer system comprising, by at least one device , taking corrective action based on the result in response to determining that the result of the executed smart contract does not match the expected state. .. 前記第1の一組のセンサが、前記第1のネットワーク上で動作しており、前記第2の一組のセンサが、前記第1の一組のセンサのための一組の冗長センサであり、前記第2の一組のセンサが、前記第1のネットワークのための冗長ネットワークである前記第2のネットワーク上で動作しており、
前記第1の指示値及び前記第2の指示値が、前記一組の命令を実行する際に前記第1のデバイスによる入力として使用される物理的測定値を示し、
前記実行された命令の前記結果が、前記ブロックチェーンを修正するために使用される出力である、請求項4に記載のコンピュータシステム。 The first set of sensors is operating on the first network, and the second set of sensors is a set of redundant sensors for the first set of sensors. , The second set of sensors is operating on the second network, which is a redundant network for the first network.
The first indicated value and the second indicated value indicate a physical measurement value used as an input by the first device when executing the set of instructions.
The computer system of claim 4, wherein the result of the executed instruction is an output used to modify the blockchain. 前記複数のデバイスのうちの各デバイスが、前記ブロックチェーン上で動作を行う、請求項4に記載のコンピュータシステム。 The computer system according to claim 4, wherein each of the plurality of devices operates on the blockchain. コンピュータによって実行されたときに、前記コンピュータに、物理的入力及び出力との相互作用要素のサイバーフィジカルシステムにおける攻撃の検出を容易にする方法を行わせる命令を記憶する非一時的コンピュータ可読記憶媒体であって、前記方法が、
複数のデバイスの第1のデバイスによって、第1のネットワークを介して、前記サイバーフィジカルシステムの第1の一組のセンサから第1の指示値を受信することと、
前記第1のデバイスによって、第2のネットワークを介して、前記サイバーフィジカルシステムの第2の一組のセンサから第2の指示値を受信することであって、
前記第1の指示値及び前記第2の指示値は、同じ物理的プロセスのパラメータを測定するものであり、
前記第2の一組のセンサは前記第1の一組のセンサと異なり、
前記第2のネットワークが、任意の外部デバイス、または前記複数のデバイスのうちのいずれかによるアクセスを阻止するセキュリティ対策を含み、
前記第1の指示値及び前記第2の指示値は、前記複数のデバイスのうちの他のデバイスによって受信される、第2の指示値を受信することと、
前記第1の指示値及び前記第2の指示値に基づいてスマートコントラクトである一組の命令を前記第1のデバイス及び前記他のデバイスによって実行することと、
第1の一組のセンサ及び第2の一組のセンサと関連付けられたデバイス設定、ファームウェア、またはソフトウェアの変更に基づいて、前記実行されたスマートコントラクトの結果が、予期される状態に一致するかどうかを前記第1のデバイス及び前記他のデバイスによって判定することと、
前記複数のデバイスの多数決によって、前記実行されたスマートコントラクトの前記結果のコンセンサスを判定することに応答して、前記結果をブロックチェーンに書き込むことと、
少なくとも1つのデバイスによって、前記実行されたスマートコントラクトの前記結果が前記予期される状態に一致しないと判定することに応答して、前記結果に基づいて是正措置を行うことと、を含む、非一時的コンピュータ可読記憶媒体。 A non-temporary computer-readable storage medium that stores instructions that, when executed by a computer, make the computer perform a method that facilitates the detection of attacks in cyber-physical systems of elements that interact with physical inputs and outputs. There, the above method is
Receiving a first indicated value from a first set of sensors in the cyber-physical system via a first network by a first device of a plurality of devices .
The first device receives a second indicated value from a second set of sensors in the cyber-physical system via the second network.
The first indicated value and the second indicated value measure the parameters of the same physical process.
The second set of sensors is different from the first set of sensors.
The second network includes security measures that block access by any external device , or any of the plurality of devices .
The first instruction value and the second instruction value receive a second instruction value received by another device among the plurality of devices .
To execute a set of instructions which is a smart contract based on the first instruction value and the second instruction value by the first device and the other device .
Does the result of the executed smart contract match the expected state based on the device settings, firmware, or software changes associated with the first set of sensors and the second set of sensors? Determining whether or not by the first device and the other device ,
Writing the results to the blockchain in response to determining the consensus of the results of the executed smart contract by a majority vote of the plurality of devices .
Non-temporary, including taking corrective action based on the result in response to the determination by the at least one device that the result of the executed smart contract does not match the expected state. Computer-readable storage medium. 前記第1の一組のセンサが、前記第1のネットワーク上で動作しており、前記第2の一組のセンサが、前記第1の一組のセンサのための一組の冗長センサであり、前記第2の一組のセンサが、前記第1のネットワークのための冗長ネットワークである前記第2のネットワーク上で動作しており、
前記第1の指示値及び前記第2の指示値が、前記一組の命令を実行する際に前記第1のデバイスによる入力として使用される物理的測定値を示し、
前記実行された命令の前記結果が、前記ブロックチェーンを修正するために使用される出力である、請求項7に記載の記憶媒体。 The first set of sensors is operating on the first network, and the second set of sensors is a set of redundant sensors for the first set of sensors. , The second set of sensors is operating on the second network, which is a redundant network for the first network.
The first indicated value and the second indicated value indicate a physical measurement value used as an input by the first device when executing the set of instructions.
The storage medium of claim 7, wherein the result of the executed instruction is an output used to modify the blockchain. 前記複数のデバイスのうちの各デバイスが、ブロックチェーン上で動作を行う、請求項7に記載の記憶媒体。 The storage medium according to claim 7, wherein each of the plurality of devices operates on the blockchain . 前記予期される状態が、
所定の時間間隔内で前記第1の指示値及び前記第2の指示値を受信すること、
前記第1の指示値及び前記第2の指示値が等しいかどうか、
前記第1の指示値及び前記第2の指示値が所定の範囲内にあるかどうか、
前記第1の指示値及び前記第2の指示値に基づいて行われた関数が所定の範囲内の結果を生じるかどうか、
前記第1の指示値及び前記第2の指示値が同じ物理量を示すかどうか、ならびに
前記第1の指示値及び前記第2の指示値が、異なる物理量を示すどうか、のうちの1つ以上に基づく、請求項7に記載の記憶媒体。 The expected state is
Receiving the first indicated value and the second indicated value within a predetermined time interval.
Whether the first indicated value and the second indicated value are equal.
Whether the first indicated value and the second indicated value are within a predetermined range.
Whether the function performed based on the first indicated value and the second indicated value produces a result within a predetermined range.
Whether the first indicated value and the second indicated value show the same physical quantity, and whether the first indicated value and the second indicated value show different physical quantities, one or more of them. The storage medium according to claim 7.
JP2018160933A 2017-09-19 2018-08-30 Methods and systems for detecting attacks on cyber-physical systems using redundant devices and smart contracts Active JP7026028B2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/709,259 2017-09-19
US15/709,259 US10831890B2 (en) 2017-09-19 2017-09-19 Method and system for detecting attacks on cyber-physical systems using redundant devices and smart contracts

Publications (3)

Publication Number Publication Date
JP2019057276A JP2019057276A (en) 2019-04-11
JP2019057276A5 JP2019057276A5 (en) 2021-10-07
JP7026028B2 true JP7026028B2 (en) 2022-02-25

Family

ID=63787707

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018160933A Active JP7026028B2 (en) 2017-09-19 2018-08-30 Methods and systems for detecting attacks on cyber-physical systems using redundant devices and smart contracts

Country Status (4)

Country Link
US (1) US10831890B2 (en)
EP (1) EP3457659B1 (en)
JP (1) JP7026028B2 (en)
AU (1) AU2018222991B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11943236B2 (en) * 2018-04-26 2024-03-26 Hitachi Energy Ltd Technologies for detecting cyber-attacks against electrical distribution devices
EP3611587A1 (en) * 2018-08-16 2020-02-19 Siemens Aktiengesellschaft System for controlling and monitoring of adaptive cyber physical systems
EP3726407A1 (en) * 2019-04-15 2020-10-21 Siemens Aktiengesellschaft Validation of measurement data sets using oracle consensus
US11126425B2 (en) * 2019-04-19 2021-09-21 Sarcos Corp. Version history management using a blockchain
US20220245722A1 (en) * 2019-06-25 2022-08-04 Nec Corporation Electronic trading system, trading management server, electronic trading method, and program
CN112070180B (en) * 2020-09-30 2024-01-19 南方电网科学研究院有限责任公司 Power grid equipment state judging method and device based on information physical bilateral data

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120143981A1 (en) 2010-12-02 2012-06-07 Institute For Information Industry Common server, adaptor, and data conforming method thereof
JP2014179074A (en) 2013-03-13 2014-09-25 General Electric Co <Ge> Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems
US20150096026A1 (en) 2013-03-15 2015-04-02 Cyberricade, Inc. Cyber security

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0931284B1 (en) 1996-10-04 2005-02-09 Fisher Controls International LLC Process control network with redundant field devices and busses
US6047222A (en) * 1996-10-04 2000-04-04 Fisher Controls International, Inc. Process control network with redundant field devices and buses
US9027121B2 (en) * 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
US8528086B1 (en) * 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8850565B2 (en) * 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7930256B2 (en) * 2006-05-23 2011-04-19 Charles River Analytics, Inc. Security system for and method of detecting and responding to cyber attacks on large network systems
WO2009128905A1 (en) * 2008-04-17 2009-10-22 Siemens Energy, Inc. Method and system for cyber security management of industrial control systems
US9494933B1 (en) * 2009-06-19 2016-11-15 The Boeing Company Processing packets in an aircraft network data processing system
US8839349B2 (en) * 2011-10-18 2014-09-16 Mcafee, Inc. Integrating security policy and event management
US10291619B2 (en) * 2012-04-06 2019-05-14 Wayne Odom System, method, and device for delivering communications and storing and delivering data
US9910969B2 (en) * 2012-04-06 2018-03-06 Wayne Odom System, method, and device for delivering communications and storing and delivering data
EP3011453A4 (en) * 2013-06-18 2017-03-01 Level 3 Communications, LLC Data center redundancy in a network
US8752178B2 (en) * 2013-07-31 2014-06-10 Splunk Inc. Blacklisting and whitelisting of security-related events
WO2015051181A1 (en) * 2013-10-03 2015-04-09 Csg Cyber Solutions, Inc. Dynamic adaptive defense for cyber-security threats
US9756062B2 (en) * 2014-08-27 2017-09-05 General Electric Company Collaborative infrastructure supporting cyber-security analytics in industrial networks
EP3224754A4 (en) * 2014-11-26 2018-08-01 Howard University Computer control system security
WO2016118979A2 (en) * 2015-01-23 2016-07-28 C3, Inc. Systems, methods, and devices for an enterprise internet-of-things application development platform
WO2016154001A1 (en) * 2015-03-20 2016-09-29 Rivetz Corp. Automated attestation of device integrity using the block chain
US10404748B2 (en) * 2015-03-31 2019-09-03 Guidewire Software, Inc. Cyber risk analysis and remediation using network monitored sensors and methods of use
US20170046689A1 (en) 2015-07-14 2017-02-16 Fmr Llc Crypto Voting and Social Aggregating, Fractionally Efficient Transfer Guidance, Conditional Triggered Transaction, Datastructures, Apparatuses, Methods and Systems
US10402792B2 (en) * 2015-08-13 2019-09-03 The Toronto-Dominion Bank Systems and method for tracking enterprise events using hybrid public-private blockchain ledgers
EP3362965A4 (en) * 2015-10-13 2019-08-07 Transactive Grid Inc. Use of blockchain based distributed consensus control
US9894036B2 (en) * 2015-11-17 2018-02-13 Cyber Adapt, Inc. Cyber threat attenuation using multi-source threat data analysis
US10063572B2 (en) * 2016-03-28 2018-08-28 Accenture Global Solutions Limited Antivirus signature distribution with distributed ledger
US10372910B2 (en) * 2016-06-20 2019-08-06 Jask Labs Inc. Method for predicting and characterizing cyber attacks
US11176519B2 (en) * 2016-11-11 2021-11-16 International Business Machines Corporation Smart contract admission check and fault tolerance in a blockchain
US20180285996A1 (en) * 2017-04-03 2018-10-04 FutureLab Consulting Inc. Methods and system for managing intellectual property using a blockchain
US11924322B2 (en) * 2017-05-16 2024-03-05 Arm Ltd. Blockchain for securing and/or managing IoT network-type infrastructure
US10846664B2 (en) * 2017-05-26 2020-11-24 Aim Ip, Llc Secure electronic system for managing digital currencies
US10581873B2 (en) * 2017-07-11 2020-03-03 Cisco Technology, Inc. Securing micro-services
US10505955B2 (en) * 2017-08-22 2019-12-10 General Electric Company Using virtual sensors to accommodate industrial asset control systems during cyber attacks
US10686799B2 (en) * 2018-04-30 2020-06-16 EMC IP Holding Company LLC Blockchain-based method and system for providing tenant security and compliance in a cloud computing environment
US10542046B2 (en) * 2018-06-07 2020-01-21 Unifyvault LLC Systems and methods for blockchain security data intelligence
US11386375B2 (en) * 2018-09-20 2022-07-12 Software Ag Systems and/or methods for securing and automating process management systems using distributed sensors and distributed ledger of digital transactions
US10979452B2 (en) * 2018-09-21 2021-04-13 International Business Machines Corporation Blockchain-based malware containment in a network resource
US11405182B2 (en) * 2018-12-03 2022-08-02 Ebay Inc. Adaptive security for smart contracts using high granularity metrics

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120143981A1 (en) 2010-12-02 2012-06-07 Institute For Information Industry Common server, adaptor, and data conforming method thereof
JP2014179074A (en) 2013-03-13 2014-09-25 General Electric Co <Ge> Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems
US20150096026A1 (en) 2013-03-15 2015-04-02 Cyberricade, Inc. Cyber security

Also Published As

Publication number Publication date
EP3457659A1 (en) 2019-03-20
AU2018222991B2 (en) 2023-04-20
US20190087571A1 (en) 2019-03-21
AU2018222991A1 (en) 2019-04-04
US10831890B2 (en) 2020-11-10
JP2019057276A (en) 2019-04-11
EP3457659B1 (en) 2022-05-11

Similar Documents

Publication Publication Date Title
JP7026028B2 (en) Methods and systems for detecting attacks on cyber-physical systems using redundant devices and smart contracts
Kesler The vulnerability of nuclear facilities to cyber attack; strategic insights: Spring 2010
Lin et al. Cyber attack and defense on industry control systems
CN107145802A (en) A kind of BIOS integrity measurement methods, baseboard management controller and system
JP6385842B2 (en) Information processing terminal, information processing method, and information processing system
JP2017111532A (en) Control device and integrated production system
Jin et al. Snapshotter: Lightweight intrusion detection and prevention system for industrial control systems
Banerjee et al. Blockchain-based security layer for identification and isolation of malicious things in IoT: A conceptual design
WO2021139308A1 (en) Cloud server monitoring method, apparatus and device, and storage medium
Staves et al. An Analysis of Adversary-Centric Security Testing within Information and Operational Technology Environments
US20150340111A1 (en) Device for detecting unauthorized manipulations of the system state of an open-loop and closed-loop control unit and a nuclear plant having the device
EP3879783A1 (en) Data security processing method and terminal thereof, and server
Liebl et al. Threat analysis of industrial internet of things devices
Szabó Cybersecurity issues in industrial control systems
Schneider et al. Cyber security maintenance for SCADA systems
Weiss et al. Changing the paradigm of control system cybersecurity
CN103425118A (en) Methods and apparatus to identify a degradation of integrity of a process control system
Kamal et al. Identifying and scoring vulnerability in scada environments
Vargas et al. A tiered security analysis of industrial control system devices
Findrik et al. Trustworthy computer security incident response for nuclear facilities
Ibrahim et al. Attack graph modeling for nuclear power plant
WO2020109252A1 (en) Test system and method for data analytics
Cornelius et al. Recommended practice: Creating cyber forensics plans for control systems
Allison et al. Goosewolf: An Embedded Intrusion Detection System for Advanced Programmable Logic Controllers
Spirito et al. Attack surface analysis of the digital twins interface with advanced sensor and instrumentation interfaces: Cyber threat assessment and attack demonstration for digital twins in advanced reactor architectures-m3ct-23in1105033

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20180914

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20180920

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210827

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210827

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20210827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210927

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220113

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220214

R150 Certificate of patent or registration of utility model

Ref document number: 7026028

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150